cmd1152 当前离线
禁止访问
TOP
peterboy666 当前离线
一级士官
打开 任务管理器=>查看=>选择列=>命令行=>确定 然后运行程序,找到cmd.exe,就可以发现:C:\Windows\system32\cmd.exe /c ""C:\xxxx\xxxxx\xxxxxxx\xxxxx.bat" " 其中,红色字体是批处理路径,但不防恶意代码。
看电池 当前离线
上等兵
回复 peterboy666 你发帖子重复了! ----- 重复发帖 - 5 PB cmd1152 发表于 2021-9-8 12:50
回复 peterboy666 帖子过多=占用论坛资源、刷帖、顶帖、恶意灌水等 cmd1152 发表于 2021-9-7 20:33
回复 peterboy666 你也赶快删除帖子吧! cmd1152 发表于 2021-9-7 19:44
回复 peterboy666 我还是不刷帖子了,刷帖子被管理员发现就完蛋... cmd1152 发表于 2021-9-7 18:32
我给你个思路: 1.set /p exefile=拖入EXE文件,检测路径是否合法,文件是否为EXE文件。然后start他。记录打开程序时的time。 2.pushd ”%tmp%“,dir所有批处理文件 加/Od参数,最后一个就是最近生成的批处理文件,获取其路径batfile。 3.for获取该批处理的创建时间,在记录打开的时间之后就基本可以肯定,这个批处理是该EXE临时产生的,否则不是。 4.(more +1 %batfile%)>%~sdp0代码.bat 提取其代码,再notepad打开他即可。 批处理吗,必须全自动。能批解决的就不要让用户手动解决。
路过 当前离线
三级士官